Если использование различных хакерских программок, уязвимостей и особенностей операционной системы - занятие довольно увлекательное и интересное, то предупреждение атак - дело куда более спокойное и даже немного скучное. Ведь результаты редактирования политик безопасности, настройки реестра и тщательного выставления прав доступа не будут видны сразу, а может, и никогда не будут видны. Потому создается впечатление, что без всего этого можно преспокойно обойтись. Однако зачастую последствия подобного пренебрежения не заставляют себя долго ждать...
В данной статье приведен ряд рекомендаций по усилению уровня защищенности операционной системы.
На винчестере не должны соседствовать системы Windows NT/2000/XP и незащищенные Windows 9x. Как правило, такое соседство приводит к тому, что, пользуясь специальными программами вроде NTFS for Windows 98 (www.sysinternals.com/ntw2k/freeware/ntfswin98.shtml), можно утащить копии важных файлов (например, SAM) для дальнейшего взлома в спокойных условиях.
Рекомендуется для повышения безопасности использовать только файловую систему NTFS, отказавшись от FAT. К тому же, необходимо ограничивать доступ к папкам, содержащим конфиденциальные сведения. Например, к каталогу windows\repair (содержит копию SAM) нужно запретить доступ всем, кроме администратора.
В утилите Syskey пароль запуска следует вводить вручную ("Пуск" > "Выполнить" > syskey > "Обновить"). Эта мера поможет предотвратить атаки программ типа SAMInside, поскольку даже в случае кражи файлов реестра sam и system пароль нельзя будет расшифровать.
Обязательно следует запретить удаленное управление реестром, делается это в оснастке "Службы".
Не лишним будет отменить использование особых общих папок ADMIN$, C$ и т.д., позволяющих пользователю с административными правами подключаться к ним через сеть. Для этого необходимо добавить в реестр параметр AutoShareWks (для версий Win2000 Workstation/Prosessional и для XP) или AutoShareServer (для версии Win2000 Server) типа Dword и установить его в 0 по следующему адресу: HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
При отсутствии в сети клиентов Windows 9х/3.11 рекомендуется отключить хранение LM-хэша - это существенно затруднит восстановление паролей из базы SAM. Для приведения приговора в действие в оснастке "Локальные параметры безопасности" следуйте по маршруту "Локальные политики" > "Параметры безопасности" и включите политику "Сетевая безопасность: не хранить хэш значений LAN Manager при следующей смене пароля".
Усложнить задачу по перехвату аутентификационных пакетов можно, если в "Локальные параметры безопасности" > "Локальные политики" > "Параметры безопасности" установить значение политики "Сетевая безопасность: уровень проверки подлинности LAN Manager" в "Отправлять только NTLMv2 ответ, отказывать LM и NTLM". Это позволит при передаче конфиденциальных данных использовать более стойкое шифрование NTLMv2.
Чтобы запутать злоумышленника при подборе пароля, следует переименовать административную и гостевую учетные записи, отключив при этом последнюю. В продолжение идеи маскарада можно создать фиктивную запись с именем "Администратор", наделив ее длинным паролем и максимально ограниченными правами. К тому же в именах учетных записей лучше всего использовать русские буквы - многие зарубежные программы не способны правильно работать с кириллицей.
В некоторых ситуациях, чтобы отследить злоумышленника, полезно включить аудит системы ("Локальные параметры безопасности" в разделе "Параметры безопасности" > "Локальные политики" > "Политики аудита"). В особенности следует уделять внимание попыткам неудачного входа в систему. Кроме того, используя средства NTFS, можно активизировать аудит доступа ("Свойства" > "Безопасность" > "Дополнительно" > "Аудит") к конкретным объектам - папкам и файлам.
И, наконец, классическая рекомендация: своевременно выполнять установку пакетов исправлений и обновлений используемого ПО. Следить за появившимися дырами можно на сайтах: www.securityfocus.com (авторитетный англоязычный ресурс), www.void.ru, www.bugtraq.ru и www.microsoft.com.
Дмитрий БАРДИЯН,
localgroup@tut.by
Усиленные пароли
Применение политики усиленных паролей ("Локальные параметры безопасности" > "Политики учетных записей" > "Политика паролей" > "Пароль должен отвечать требованиям сложности".) означает, что операционная система будет следить за тем, чтобы пользователи создавали свои пароли в соответствии со следующими правилами:
- Пароль должен содержать не менее шести символов, и среди них должны быть символы, по крайней мере, трех типов из следующих четырех: заглавные буквы, строчные буквы, цифры и специальные символы (т. е. *, %, &,!).
- Пароль не может включать учетное имя пользователя.
- Пароль не может содержать частей полного имени пользователя.
Если пользователь создает пароль, который не отвечает перечисленным требованиям, операционная система выдает сообщение об ошибке и не принимает пароль.
Когда применяются усиленные пароли, их труднее разгадать, и вероятность успеха наиболее эффективных атак со словарем уменьшается.
Комментарии